У меня на моем сайте есть редактор текстового редактора, который я пытаюсь защитить от атак XSS. Я думаю, что у меня есть все, что нужно, но я все еще не уверен, что делать с изображениями. Сейчас я использую следующее регулярное выражение для проверки URL-адреса изображений, которые я предполагаю, что буду блокировать встроенный Javascript XSS атака:Межсайтовый скриптинг с изображением
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
То, что я не уверен в том, как открыто это оставляет меня атаки XSS от удаленное изображение. Является ли ссылка на внешний образ серьезной угрозой безопасности?
Единственное, что я могу придумать, это то, что URL-адрес ввел ссылки на ресурс, который возвращает «text/javascript
» как его тип MIME вместо какого-то изображения, и затем выполняется javascript.
Возможно ли это? Есть ли другая угроза безопасности, которую я должен рассмотреть?
Я также рекомендую ha.ckers.org шпаргалку: ha.ckers.org/xss.html –